RSASecurID管理員操作手冊

1、RSA SecurID 7.1管理員手冊RSA SecurID 7.1管理員操作手冊目 錄一、RSA 7.1安裝11.1.RSA 7.1 Windows版安裝需求及注意事項11.2.安裝RSA Authenticaton Manager2二、RSA 7.1基本運行與維護112.1.令牌相關操作112.1.1.導入令牌種子文件Import Tokens Job112.1.2.查看令牌 Manage SecurID Tokens132.1.3.令牌統(tǒng)計Token Statistics142.1.4.修改令牌驗證方式Change Token to Authenticate with152.2.用戶相

2、關操作162.2.1.查詢用戶Manage Users162.2.2.分配令牌Assign Token172.2.3.解除令牌綁定Unassign Token192.3.登錄狀態(tài)的監(jiān)控20三、RSA Self-service Console的使用213.1.自服務系統(tǒng)的使用213.2.匯報問題26四、售后服務熱線294.1郵件方式294.2電話方式29一、 RSA 7.1安裝RSA ACE/Server是集中的雙因素認證中心，除了響應RSA ACE/Agent傳送過來的認證請求以外，管理員還可以定義安全策略，允許不同的用戶訪問不同受保護網(wǎng)絡資源的權限，設定不同用戶的存取時間等；同時RSA AC

3、E/Server忠實地記錄用戶的每次認證請求，包括用戶名、時間、訪問的服務器以及是否通過認證等信息，以備日后審計；另外，RSA ACE/Server還可以檢測惡意企圖并做出響應，例如用戶連續(xù)輸錯3此認證碼以后自動進入NextToken模式，必須連續(xù)輸入兩個正確的認證碼才能通過認證，連續(xù)輸錯10次認證碼以后自動禁止此帳號。RSA ACE/Server可以運行于Solaris、AIX、HP-UX和Windows操作系統(tǒng)平臺上。一個RSA ACE/Server可以提供百萬級用戶數(shù)的容量。RSA ACE/Server有兩種許可證：基本許可證（Base License）和高級許可證（Advanced L

4、icense）?；驹S可證允許用戶安裝一臺主服務器（Primary Server）和一臺從服務器（Replica Server）；而高級許可證允許部署最多6個服務器域（Realm），每個域由一臺主服務器和最多十臺從服務器組成，這種架構不僅確保了高有效性，同時可以適合大型的全球網(wǎng)絡拓撲結構。1.1. RSA 7.1 Windows版安裝需求及注意事項支持的操作系統(tǒng)：² Microsoft Windows Server 2003 Enterprise R2 SP2 (32-bit)² Microsoft Windows Server 2003 Enterprise SP2 (3

5、2-bit)² Microsoft Windows Server 2003 Enterprise R2 SP2 (64-bit)² Microsoft Windows Server 2003 Enterprise SP2 (64-bit)Note: RADIUS is not supported on 64-bit Windows and Linux systems.硬件需求：² Intel Xeon 2.8 GHz or equivalent (32-bit)² Intel Xeon 2.8 GHz or equivalent (64-bit)

6、8; 3GB 物理內(nèi)存² NTFS 文件系統(tǒng)² 60GB 磁盤空間支持的瀏覽器：Windows系統(tǒng)：² Internet Explorer 6.0 with SP2 for Windows XP² Internet Explorer 7.0 for Windows XP and Windows Vista² Firefox 2.0Linux系統(tǒng)：² Firefox 2.0Solaris系統(tǒng)：² Firefox 2.0² Mozilla 1.07注意事項：² RSA Authentication Manag

7、er 必須安裝在NTFS分區(qū)上。² RSA SecurID以時間同步技術為核心，安裝 RSA Authentication Manager 前必須調(diào)準服務器的時間，包括時區(qū)、日期和時間。² 將所有 RSA Authentication Manager 服務器的全名和IP地址寫入所有 RSA Authentication Manager 服務器的hosts文件中（winntsystem32driversetchosts）。1.2. 安裝RSA Authenticaton Manager 1. 首先修改AM服務器的hosts文件，將本機的ip地址和主機名加入hosts記錄中，主

8、機名需要寫成域名形式的，如沒有加入域環(huán)境可在實際主機名后加上.com；如需修改計算機名或加入域環(huán)境需要重啟后生效。Hosts文件修改路徑：C:WINDOWSsystem32driversetchosts，如下圖：2. 查看系統(tǒng)時間是否是標準北京時間，如不是需要修改或同步。3. 插入RSA Authentication Manager 7.1光盤。運行autorun.exe啟動安裝安裝向?qū)雍簏c擊Install Now點擊next，選擇“You are a customer ordering this RSA product from RSA Securtiy Ireland Limited,

9、 from Europe, Africa or Asia Pacific”第二個選項表明在亞太地區(qū)購買的RSA產(chǎn)品。選擇“I accept the terms of the license agreement”接受許可條款。選擇需要安裝RSA Authentication Manager的類型“Primary RSA Authentication Manager”，選擇“Next”繼續(xù)。指定RSA Authentication Manager軟件安裝目錄，然后選擇“Next”繼續(xù)。如hosts文件已將主機名和ip地址添加完畢，此界面會自動讀取本機的完整主機名和ip地址，如沒有自動讀取，說明ho

10、sts文件沒有添加正確。指定RSA Authentication Manager License路徑，Base license支持安裝一主一從兩臺設備，選擇“Next”繼續(xù)。檢查license信息是否正確，點擊Next繼續(xù)。設定超級管理員的用戶名和密碼，此用戶名和密碼用于登錄管理Security Console, Operation Console和Self-service Console，默認每3個月需要修改一次，選擇“Next”繼續(xù)。選擇需要的log類型，建議全選，選擇“Next”繼續(xù)。查看安裝摘要，選擇“Install”開始安裝。 安裝過程將持續(xù)半個小時至一個小時不等，取決于服務器的性能

11、，直到出現(xiàn)以下界面完成安裝。點擊Finish完成安裝，桌面上會出現(xiàn)三個圖標，分別是：RSA Security Consolehttps:/nice-rsa-vm01-:7004/IMS-AA-IDP/logonPrompt.do?action=nvPreLoginRSA Security Operations Consolehttps:/nice-rsa-vm01-:7072/operations-console/RSA Self-Service Consolehttps:/nice-rsa-vm01-:7004/console-selfservice/安裝完成后所有RSA必需的服務會自動啟動

12、，并且默認設置為開機自動啟動。二、 RSA 7.1基本運行與維護管理員可以在服務器本地執(zhí)行RSA Security Console中來進行絕大部分的管理操作：https:/nice-rsa-vm01-:7004/IMS-AA-IDP/logonPrompt.do?action=nvPreLogin2.1. 令牌相關操作在Authentication菜單下，管理員可以進行與令牌或種子文件相關的一些操作。一般來說，系統(tǒng)安裝完畢之后，管理員的第一步工作就是導入種子文件。2.1.1. 導入令牌種子文件Import Tokens Job插入SecurID種子盤，將.XML文件拷入服務器。選擇Authen

13、tication SecurID Tokens - Import Tokens Job Add New。在Import File欄中點擊“瀏覽”，選擇種子文件的路徑，之后輸入種子文件的密碼,點擊Submit Job。種子導入成功。2.1.2. 查看令牌 Manage SecurID Tokens在Authentication SecurID Tokens Manage Existing中查看已導入的令牌。選擇Unassigned未分配令牌，點擊search。所有未分配的令牌均顯示出來。2.1.3. 令牌統(tǒng)計Token Statistics在這個菜單下，管理員可以查看目前令牌的相關統(tǒng)計信息，如：

14、已分配給用戶的令牌數(shù)、可用的令牌數(shù)、已過期的令牌數(shù)、即將在90天內(nèi)過期的令牌數(shù)等。Authentication SecurID Tokens Statistics中可以看到當前所有令牌的狀態(tài)信息。2.1.4. 修改令牌驗證方式Change Token to Authenticate with選中所有令牌，在上方的下拉菜單中選擇Dont Require SecurID PIN，可根據(jù)用戶的要求，將所有令牌設定為無PIN模式。無PIN模式設置完成。2.2. 用戶相關操作在Identity菜單下，管理員可以進行添加用戶、編輯用戶、刪除用戶、查詢外部LDAP用戶等操作：2.2.1. 查詢用戶Manag

15、e Users在Users Manage Existing選項中，將Identity Source選為Internal Database，點擊Search顯示出RSA內(nèi)置數(shù)據(jù)庫中的所有用戶信息2.2.2. 分配令牌Assign Token選中其中一個域用戶右側的箭頭，選擇SecurID Tokens，查看當前用戶已分配的令牌。如該用戶未被分配令牌則顯示如上，點擊Assign Token給該用戶分配新令牌。在選中的令牌號碼打勾，并點擊上方的Assign，將這個令牌分配給該用戶。顯示令牌分配成功，令牌狀態(tài)為Actie。2.2.3. 解除令牌綁定Unassign Token當某個用戶不再使用令牌或變

16、更令牌（如測試賬號結束測試、用戶離職等情況下），管理員可以將令牌解除與該用戶的綁定：點擊已綁定用戶的令牌右側的三角，選擇Unassign Token，即可解除這塊令牌與該用戶的綁定。2.3. 登錄狀態(tài)的監(jiān)控在Reporting Real-time Activity Monitor Authentication Activity Monitor中可以監(jiān)測到所有用戶登錄的狀態(tài)，不論登錄成功與否都會有記錄，這是排查登錄失敗原因的最重要工具。打開Monitor后點擊左上角的Start Monitor，就會開始自動記錄所有的用戶登錄狀態(tài)及報錯信息。在排查登錄失敗的原因時推薦將ACS的Access log

17、也打開兩邊同時排查，以便更準確的定位失敗原因。三、 RSA Self-service Console的使用3.1. 自服務系統(tǒng)的使用管理員和用戶均可登錄RSA Self-Service Console：https:/nice-rsa-vm01-:7004/console-selfservice/ 來訪問自服務系統(tǒng)，用戶可通過它自行解決令牌忘帶或遺失等問題，省去管理員很多繁瑣的操作。點擊Log on登錄自服務控制臺。輸入用戶名后可自己選擇輸入靜態(tài)密碼或令牌碼，如令牌忘帶或丟失可選擇輸入管理員賦予的靜態(tài)密碼。第一次登錄系統(tǒng)會提出5個問題，這些問題的答案由用戶自行回答并牢記，作為用戶忘記密碼后找回的

18、依據(jù)。登錄成功后會顯示該用戶目前關聯(lián)令牌的信息及用戶信息，右側My Profile欄中有Change your Password選項，可根據(jù)用戶自己需要更改登錄自服務系統(tǒng)的靜態(tài)密碼。在My SecurID Tokens一欄中，用戶可測試自己token的可用性或報告token產(chǎn)生的問題。點擊Test your token后即可測試令牌可用性，在User ID欄中輸入用戶名，Passcode欄中輸入令牌碼，點擊Test。如令牌工作正常則提示如上。如點擊Report a problem with your token, 則會彈出詢問令牌問題的選項，以忘帶或遺失為例，點選Token is temporarily unavailable or misplaced。系統(tǒng)會為該用戶隨機生成一個可登錄密碼來代替忘帶或遺失的令牌密碼，但該密碼具有時效性，只可在下面所顯示的時間范圍內(nèi)使用。3.2. 匯報問題如用戶的令牌出現(xiàn)問題，可進入Trou